出典: A_Gree via Alamy Stock Photo
新たに発見されたボットネットが、数千台のASUSブランドのルーターにバックドアを設置しました。再起動やアップデートを通じて持続し、感染したデバイスをはるかに大きな運用リレーボックス(ORB)ネットワークに登録した可能性があります。ORBは、広範囲にわたる仮想プライベートサーバー(VPS)や侵害されたスマートデバイスやルーターのネットワークで構成されています。
Greynoiseの研究者は3月中旬に、ボットネットが未パッチの、または保護が不十分なASUSルーターを横断していることに気付きました。ある意味では、マルウェアは単に基本的なセキュリティブロック(弱い認証資格情報、古い未パッチの脆弱性)を通り抜けていました。しかし、他の面では非常に高度で、組み込みのTrend Microセキュリティ機能を弱体化させ、デバイスの目立たない部分に自らを埋め込むためにLiving-off-the-land(LotL)技術を使用していました。Greynoiseはこれを「AyySSHush」と名付けました。
先週、Sekoiaの研究者がLinksys、D-Link、QNAP、Araknis Networks、ASUSが開発した数千のエッジデバイスを侵害する脅威アクターに関する報告を発表したとき、この話はさらに複雑になりました。ASUSキャンペーンの背後にいるアクターを決定的に特定することなく、Greynoiseは、Sekoiaが観察した「ViciousTrap」と名付けられた同じアクターである可能性が非常に高いと評価しました。
「この[キャンペーン]は明らかに広大なORBネットワークを設定するために使用された」と、Greynoiseのデータサイエンス副社長であるBob Rudisは考えています。彼は「ORBは一般的に非常に高度なアクターと関連している – 非常に組織化された犯罪ネットワーク、またはより頻繁には国家である」と付け加えています。
ASUSルーターへのバックドア設置
AyySSHushは、インターネットに露出したルーターへの初期アクセスを得るために、最も明白な戦術のみを使用します:デバイスのログインページをブルートフォースするか、既知の認証バイパス脆弱性を悪用するかです。特に、ここで使用されているログインバイパス技術には、Common Vulnerabilities and Exposures(CVE)リストが割り当てられていません。
特権アクセスを持つことで、マルウェアはASUSルーターで使用されているTrend Micro開発のセキュリティスイート「AiProtection」を弱体化しようとします。特に、CVE-2023-39780、ほぼ2年前のコマンドインジェクション脆弱性で、Common Vulnerability Scoring System(CVSS)で「高い」8.8の評価を受けているものをターゲットにしています。
マルウェアはそのコマンドインジェクション能力を使用して、システムに空のファイルを導入します。これは特に「Bandwidth SQLite Logging」(BWDPI)というログ機能をトリガーするために命名されています。BWDPIの重大な欠陥により、マルウェアは自分のコードをシステムコマンドとして実行することができます。
デバイスに対する無制限の権限を持つことで、マルウェアは最後のトリックを実行します:デバイス設定を調整して持続的なSecure Shell(SSH)アクセスを可能にします。重要なのは、この変更が不揮発性メモリ(NVRAM)に保存されるため、ファームウェアのアップグレードやデバイスの再起動を通じて持続します。「誰かがあなたを捕まえて消去しても、この不揮発性RAMの中に一部を保存しているため、再びそのコードを再点火して再利用する方法があり、基本的にデバイスを将来的にネットワークの一部にすることができます」とRudisは説明します。このため、Greynoiseは影響を受けた被害者に対して、影響を受けたデバイスに対して包括的な工場出荷時設定へのリセットを行うことを推奨しています。
「攻撃者を阻止するのが実際にかなり難しくなっている」と彼は気づきます。通常、パッチ適用と良好なサイバーハイジーンで対処できますが、そうでない場合、「おそらく2年ごとに評判の良い新しいルーターに交換するべきだ」と彼は言います。なぜなら、今これらのものを安全に保つのは本当に難しいからです。
感染は減少したが、数千が依然として感染
Greynoiseは3月23日から政府および業界のパートナーと協力して悪意のあるネットワークと戦っています。
ピーク時には、Rudisによれば、ボットネットは約12,000台のインターネットに露出したルーターに自らを埋め込むことに成功しました。それ以来、どれほど深くバックドアが潜り込んでいたとしても、感染したデバイスの数は大幅に減少しました。この記事執筆時点でのCensys検索では、8,500台以上の感染したホストが返されます。
彼は「攻撃者が『もうやめた、ここから出るぞ』と言ったか、善良な人々[政府機関]が『おい、彼らをここから追い出せ』と言ったかのどちらかが起こっている」と推測します。私は、これらのルーターを所有する人々がそれを掃除したのではないと断言します。」
「30年間これをやってきた経験から言うと、我々が問題を伝えた後に実際にパッチを当てる人はいない」と彼は嘆きます。
Dark Readingはこの件に関してASUSとTrend Microにコメントを求めています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/botnet-persistent-backdoors-asus-routers